211service.com
Der erste DDoS-Angriff war vor 20 Jahren. Das haben wir seitdem gelernt.
Frau Tech; Computer: Wikimedia Commons
Der 22. Juli 1999 ist ein ominöses Datum in der Geschichte der Informatik. An diesem Tag wurde ein Computer an der University of Minnesota plötzlich von einem Netzwerk aus 114 anderen Computern angegriffen, die mit einem bösartigen Skript namens Trin00 infiziert waren.
Dieser Code veranlasste die infizierten Computer, überflüssige Datenpakete an die Universität zu senden, was deren Computer überforderte und sie daran hinderte, legitime Anfragen zu bearbeiten. Auf diese Weise legte der Angriff den Uni-Rechner zwei Tage lahm.
Dies war der weltweit erste DDoS-Angriff (Distributed Denial of Service). Aber es dauerte nicht lange, bis sich die Taktik verbreitete. In den folgenden Monaten wurden zahlreiche weitere Websites Opfer, darunter Yahoo, Amazon und CNN. Jeder wurde mit Datenpaketen überflutet, die ihn daran hinderten, legitimen Datenverkehr zu akzeptieren. Und in jedem Fall stammten die schädlichen Datenpakete aus einem Netzwerk infizierter Computer.
Seitdem sind DDoS-Angriffe alltäglich geworden. Böswillige Akteure machen auch ein lukratives Geschäft, indem sie Schutzgelder von Websites erpressen, die sie anzugreifen drohen. Sie verkaufen ihre Dienste sogar im Darknet. Ein 24-Stunden-DDoS-Angriff auf ein einzelnes Ziel kann nur 400 US-Dollar kosten.
Aber die Kosten für das Opfer können im Hinblick auf entgangene Einnahmen oder beschädigten Ruf enorm sein. Das wiederum hat einen Markt für Cyberverteidigung geschaffen, der vor solchen Angriffen schützt. Im Jahr 2018 war dieser Markt unglaubliche 2 Milliarden Euro wert. All dies wirft die wichtige Frage auf, ob mehr zur Abwehr von DDoS-Angriffen getan werden kann.
Heute, 20 Jahre nach dem ersten Angriff, untersuchen Eric Osterweil von der George Mason University in Virginia und Kollegen die Natur von DDoS-Angriffen, wie sie sich entwickelt haben und ob es grundlegende Probleme mit der Netzwerkarchitektur gibt, die angegangen werden müssen, um sie sicherer zu machen. Die Antworten, sagen sie, sind alles andere als einfach: Die Landschaft der billigen, kompromittierbaren Bots ist nur fruchtbarer für Schurken und schädlicher für Internetdienstbetreiber geworden.
Zuerst etwas Hintergrund. DDoS-Angriffe verlaufen in der Regel stufenweise. In der ersten Phase infiziert ein böswilliger Eindringling einen Computer mit Software, die darauf ausgelegt ist, sich über ein Netzwerk zu verbreiten. Dieser erste Computer wird als Master bezeichnet, da er alle nachfolgenden Computer steuern kann, die infiziert werden. Die anderen infizierten Computer führen den eigentlichen Angriff aus und werden als Daemons bezeichnet.
Häufige Opfer in dieser ersten Phase sind Computernetzwerke von Universitäten oder Hochschulen, da sie mit einer Vielzahl anderer Geräte verbunden sind.
Ein DDoS-Angriff beginnt, wenn der Master-Computer einen Befehl an die Daemons sendet, der die Adresse des Ziels enthält. Die Dämonen beginnen dann damit, eine große Anzahl von Datenpaketen an diese Adresse zu senden. Ziel ist es, das Ziel für die Dauer des Angriffs mit Datenverkehr zu überfluten. Die größten Angriffe senden heute bösartige Datenpakete mit einer Rate von Terabit pro Sekunde.
Die Angreifer unternehmen oft erhebliche Anstrengungen, um ihren Standort und ihre Identität zu verschleiern. Beispielsweise verwenden die Daemons häufig eine Technik namens IP-Adress-Spoofing, um ihre Adresse im Internet zu verbergen. Master-Computer können auch schwer nachzuverfolgen sein, da sie nur einen einzigen Befehl senden müssen, um einen Angriff auszulösen. Und ein Angreifer kann sich dafür entscheiden, Daemons nur in schwer zugänglichen Ländern einzusetzen, auch wenn sie sich woanders befinden.
Die Verteidigung gegen diese Art von Angriffen ist schwierig, da sie konzertierte Aktionen einer Reihe von Betreibern erfordert. Die erste Verteidigungslinie besteht darin, die Erstellung des Daemon-Netzwerks überhaupt zu verhindern. Dies erfordert, dass Systemadministratoren die von ihnen verwendete Software regelmäßig aktualisieren und patchen und eine gute Hygiene unter den Benutzern ihres Netzwerks fördern – beispielsweise das regelmäßige Ändern von Passwörtern, die Verwendung persönlicher Firewalls und so weiter.
Internetdienstanbieter können auch einen gewissen Schutz bieten. Ihre Rolle besteht darin, Datenpakete von einem Teil eines Netzwerks zu einem anderen weiterzuleiten, abhängig von der Adresse im Header jedes Datenpakets. Dabei wird oft wenig oder gar nicht berücksichtigt, woher das Datenpaket stammt.
Aber das könnte sich ändern. Der Header enthält neben der Zieladresse auch die Quelladresse. Theoretisch ist es einem ISP also möglich, die Quelladresse zu untersuchen und Pakete zu blockieren, die offensichtlich gefälschte Quellen enthalten.
Dies ist jedoch rechenintensiv und zeitaufwändig. Und da die ISPs nicht unbedingt das Ziel eines DDoS-Angriffs sind, haben sie nur einen begrenzten Anreiz, teure Gegenmaßnahmen einzusetzen.
Schließlich kann das Ziel selbst Maßnahmen ergreifen, um die Auswirkungen eines Angriffs abzuschwächen. Ein naheliegender Schritt besteht darin, die schlechten Datenpakete bei ihrer Ankunft herauszufiltern. Das funktioniert, wenn sie leicht zu erkennen sind und wenn die Rechenressourcen vorhanden sind, um mit dem Volumen des böswilligen Datenverkehrs fertig zu werden.
Diese Ressourcen sind jedoch teuer und müssen ständig mit den neuesten Bedrohungen aktualisiert werden. Sie bleiben die meiste Zeit ungenutzt und treten nur dann in Aktion, wenn ein Angriff auftritt. Und selbst dann können sie die größten Angriffe möglicherweise nicht bewältigen. Daher ist diese Art der Minderung selten.
Eine andere Möglichkeit besteht darin, das Problem an einen Cloud-basierten Dienst auszulagern, der für solche Bedrohungen besser gerüstet ist. Dadurch werden die Probleme der DDoS-Abwehr in Scrubbing-Zentren zentralisiert, und viele kommen damit gut zurecht. Aber selbst diese können Schwierigkeiten haben, mit den größten Angriffen fertig zu werden.
All das wirft die Frage auf, ob mehr getan werden kann. Wie kann unsere Netzwerkinfrastruktur verbessert werden, um die Prinzipien anzugehen, die das DDoS-Problem ermöglichen? Fragen Sie Osterweil und Co. Und sie sagen, dass der 20. Jahrestag des ersten Angriffs eine gute Gelegenheit bieten sollte, das Problem genauer zu untersuchen. Wir glauben, dass Untersuchungen darüber erforderlich sind, welche Grundlagen DDoS ermöglichen und verschlimmern, sagen sie.
Eine wichtige Beobachtung bei DDoS-Angriffen ist, dass Angriff und Abwehr asymmetrisch sind. Ein DDoS-Angriff wird normalerweise von vielen Daemons auf der ganzen Welt gestartet, und doch findet die Abwehr größtenteils an einem einzigen Ort statt – dem angegriffenen Knoten.
Eine wichtige Frage ist, ob Netzwerke so modifiziert werden könnten oder sollten, dass sie eine Art verteilte Abwehr gegen diese Angriffe beinhalten. Ein Weg nach vorn könnte beispielsweise darin bestehen, es ISPs zu erleichtern, gefälschte Datenpakete herauszufiltern.
Eine andere Idee ist, Datenpakete auf ihrem Weg über das Internet nachvollziehbar zu machen. Jeder ISP könnte eine Stichprobe von Datenpaketen markieren – vielleicht eines von 20.000 – während sie geroutet werden, damit ihre Reise später rekonstruiert werden kann. Dies würde es dem Opfer und den Strafverfolgungsbehörden ermöglichen, die Quelle eines Angriffs zu verfolgen, selbst nachdem er beendet wurde.
Diese und andere Ideen haben das Potenzial, das Internet sicherer zu machen. Aber sie erfordern Zustimmung und Handlungsbereitschaft. Osterweil und Co. finden, die Zeit ist reif zum Handeln: Dies ist ein Aufruf zum Handeln: Die Forschungsgemeinschaft ist unsere größte Hoffnung und am besten qualifiziert, diesen Aufruf anzunehmen.
Ref: arxiv.org/abs/1904.02739 : 20 Jahre DDoS: Ein Aufruf zum Handeln